Acerca del contenido de seguridad de iOS 9.2

Este documento describe el contenido de seguridad de iOS 9.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: un problema de control de acceso se ha solucionado evitando la modificación de las estructuras de control de acceso.

    ID CVE

    CVE-2015-7055: Apple

  • AppSandbox

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación con fines malintencionados puede mantener el acceso a Contactos después de revocar el acceso

    Descripción: había un problema en la gestión de la zona protegida de los enlaces duros. Se ha solucionado el problema mejorando la robustez de la zona protegida para las apps.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad POLITEHNICA de Bucharest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de la Universidad Técnica de Darmstadt

  • CFNetwork HTTPProtocol

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante con una posición de red privilegiada podría ser capaz de eludir la HSTS

    Descripción: había un problema de validación de entrada en el procesamiento de direcciones URL. Este problema se ha solucionado mejorando la validación de las direcciones URL.

    ID CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) de Gehirn Inc. y Muneaki Nishimura (nishimunea)

  • Compresión

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Description: había un problema de acceso a la memoria no inicializado en zlib. Este problema se ha solucionado mejorando la inicialización de la memoria y la validación adicional de las secuencias zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Se ha solucionado el problema mejorando la validación de las entradas.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • Reproducción CoreMedia

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos multimedia que contenían errores. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de validación de segmentos en dyld. Se han solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • Marco GPUTools

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de validación de las rutas en Mobile Replayer. Se han solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: analizar un archivo de iBooks creado con fines malintencionados podría provocar la revelación de la información de los usuarios

    Descripción: había un problema de referencia de entidades externas XML con el análisis de iBook. Para resolver este problema se ha mejorado el análisis.

    ID CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) y Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en ImageIO. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de corrupción de la memoria en la API de IOHIDFamily. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7111: beist y ABH de BoB

    CVE-2015-7112: Ian Beer de Google Project Zero

  • IOKit SCSI

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

    Descripción: había una falta de referencia a un puntero nulo en la gestión de determinados tipos de clientes de usuario. Para resolver este problema se ha mejorado la validación.

    ID CVE

    CVE-2015-7068: Ian Beer de Google Project Zero

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación local podría ser capaz de provocar la denegación de servicio

    Descripción: se han solucionado varios problemas de denegación de servicio mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7040: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7041: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7042: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7083: Ian Beer de Google Project Zero

    CVE-2015-7084: Ian Beer de Google Project Zero

  • Kernel

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: había un error en el análisis de los mensajes mach. Este problema se ha solucionado mejorando la validación de los mensajes mach.

    ID CVE

    CVE-2015-7047: Ian Beer de Google Project Zero

  • LaunchServices

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos .plist que contenían errores. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7113: Olivier Goguel de Free Tools Association

  • libarchive

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar un paquete creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios desbordamientos de búfer en la biblioteca estándar de C. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-7038 : Brian D. Wells de E. W. Scripps,  Narayan Subramanian de Symantec Corporation/Veritas S.A.

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Entrada actualizada el 3 de marzo de 2017

  • libxml2

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: había un problema de corrupción de memoria en el análisis de archivos XML. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7115: Wei Lei y Liu Yang de Nanyang Technological University

    CVE-2015-7116: Wei Lei y Liu Yang de Nanyang Technological University

  • MobileStorageMounter

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de tiempos al cargar la caché de confianza. Este problema se ha solucionado validando el entorno del sistema antes de cargar la caché de confianza.

    ID CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en OpenGL. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks

  • Fotos

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podría ser capaz de usar el sistema de copia de seguridad para acceder a zonas restringidas del sistema de archivos

    Descripción: había un problema de validación de rutas en Mobile Backup. Esto se ha solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-7037: PanguTeam

  • QuickLook

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: abrir un archivo de iWork malicioso podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en la gestión de los archivos de iWork. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7107

  • Safari

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: existía un problema que podría permitir que un sitio web mostrase contenido con la URL de un sitio web diferente. Para resolver este problema se ha mejorado la gestión de las URL.

    ID CVE

    CVE-2015-7093: xisigr de Tencent's Xuanwu LAB (www.tencent.com)

  • Zona protegida

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación con fines malintencionados con privilegios root podría eludir la aleatorización del espacio de direcciones del kernel

    Descripción: había un problema de separación de privilegios insuficiente en xnu. Este problema se ha solucionado mejorando las comprobaciones de autorizaciones.

    ID CVE

    CVE-2015-7046: Apple

  • Seguridad

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en la gestión de enlaces SSL. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7073: Benoit Foucher de ZeroC, Inc.

  • Seguridad

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación con fines malintencionados podría obtener acceso a ítems del llavero de un usuario

    Descripción: existía un problema en la validación de las listas de control de acceso de los ítems del llavero. Este problema se ha solucionado mejorando las comprobaciones de la lista de control de acceso.

    ID CVE

    CVE-2015-7058

  • Siri

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una persona con acceso físico a un dispositivo iOS podría ser capaz de utilizar Siri para leer notificaciones de contenido configurado para no mostrarse con la pantalla bloqueada

    Descripción: cuando se efectuaba una solicitud a Siri, el servidor no comprobaba las restricciones aplicadas por la parte del cliente. Para resolver este problema se ha mejorado la comprobación de las restricciones.

    ID CVE

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Disponibilidad: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la visita a un sitio web creado con fines malintencionados podría revelar el historial de navegación

    Descripción: había un problema de validación de entrada insuficiente en el bloqueo de contenido. Este problema se ha solucionado mejorando el análisis de la extensión de contenido.

    ID CVE

    CVE-2015-7050: Luke Li y Jonathan Metzman

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: